プライバシー プログラムを正しく構築する方法

セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、マイクロソフトのプロダクト マーケティング マネージャーであるナタリア ゴディラが、プライバシーに関する法律問題の専門家であり、Asana のデータ保護オフィサーおよびプライバシー カウンセルである ホイットニーメリル弁護士と対談しています。以下の考えは、雇用主の見解ではなく、彼女の見解を反映したものであり、法的助言ではありません.このブログでは、Whitney がプライバシー プログラムの構築について語り、プライバシー トレーニングのベスト プラクティスを提供しています。

ナタリア: セキュリティ、プライバシー、規制順守はどのように交差するのですか?

Whitney:セキュリティとプライバシーは密接に関連していますが、同じではありません。セキュリティなしにプライバシーはありえません。過去 5 ～ 10 年間で、プライバシーとセキュリティの規制は非常に異なる道をたどってきました。世界中のほとんどの規制は合理的なセキュリティの基準に当てはまりますが、プライバシーは、コンプライアンスの観点から個人が行使できる行動や権利の種類について、はるかに規範的です。企業は ISO 27001 や SOC 2 などの一般的なセキュリティ フレームワークに注目していますが、プライバシーには実際にはそれがありません。これは、セキュリティが非常に白黒であるという事実から生まれました。何かを確保できるか、できないか。

ただし、プライバシーに関しては、データの使用方法についてさまざまな考え方があります。それははるかに灰色です。 2010 年代初頭に Do Not Track を使用した試みがありました。これは、インターネット ユーザーが Web サイトの追跡をオプトアウトできるようにする提案された HTTP ヘッダー フィールドです。それはバラバラになりました。プライバシーと法規制の遵守は分かれていますが、その多くは、広告業界とプライバシーの専門家の間の根本的な意見の相違によるものです。これは、欧州連合 (EU) の Cookie バナーで確認できます。それらは優れたユーザー エクスペリエンスではなく、人々はそれらとのやり取りを好みません。それらが存在するのは、電子プライバシー指令や一般データ保護規則(GDPR) など、基本的にこれらの種類のバナーを必要とする十分な規制があるためです。

ナタリア: 誰がプライバシーに関与し、どのような役割を果たすべきですか?

Whitney:会社の最高レベルからプライバシーの賛同を得ることは非常に重要です。 GDPR の下で、欧州のデータを処理している場合、企業の最高レベルに報告するデータ保護責任者を配置する義務があるだけでなく、プライバシーに関するリーダーシップとのオープンな対話は、データの処理に関する企業文化の価値を確立するのに役立ちます。データ。データを販売する会社ですか？ユーザーと顧客は、データをどの程度制御できますか?これらのコントロールはどの程度の粒度で行う必要がありますか?機密データ (健康データや財務データなど) を収集しますか、それともプラットフォームで禁止したいものですか?

リーダーからの賛同を得て、ツールにプライバシーを組み込むのが早ければ早いほど、長期的にはより簡単になります。完璧である必要はありませんが、優れた基盤があれば、将来の構築が容易になります。また、ベンチャー キャピタル コミュニティが、新興企業や中小企業に、成長だけに焦点を当てるのではなく、プライバシーとセキュリティに関心を持つよう奨励することも楽しみにしています。新興企業は、プライバシー規制当局によるプライバシーの施行をすでに見た他の企業が学んだプライバシーの教訓を実装していないことは明らかです。その結果、同じプライバシーの問題が何度も発生します。明らかに、規制当局が役割を果たします。施行に加えて、規制当局からの教育とガイダンスは、企業がプラットフォームにプライバシー バイ デザインを組み込むのを支援するために不可欠です。

ナタリア: プライバシー攻撃とはどのようなもので、企業はどのような攻撃に注意を払う必要がありますか?

Whitney:プライバシー攻撃は、セキュリティ攻撃とよく似ています。たとえば、データ侵害はプライバシー攻撃であり、機密情報が漏洩します。ヨーロッパの規制当局は最近、プライバシーのバグを侵害と呼んだ.この特定のケースでは、ソフトウェアのバグにより、ユーザーが非公開としてマークした情報が公開されました。人々は一般的にデータ侵害を攻撃者と関連付けますが、多くの場合、偶発的な開示やプライバシーのバグがデータ侵害を引き起こす可能性があります.これが、重大なプライバシーまたはセキュリティの問題が発生したときに法務チームに関与することが重要である理由です。すぐには明らかにならない規制上の報告義務があるかもしれません。その他のプライバシー攻撃は、必ずしもデータ侵害ではありません。プライバシー攻撃には、データ セットの非匿名化の試みが含まれる場合もあれば、ユーザーが予期しない方法でデータを使用または収集するプライバシー バグである場合もあります。特定の種類のデータのみを収集するように機能を設計することもできますが、実際には、プライバシー通知で意図または開示されていたよりもはるかに多くのデータを収集しています。

プライバシー攻撃のより敵対的な側面として、攻撃者はプライバシー権に関する弱点やプロセスを利用して、個人情報にアクセスしたり、誰かのアカウントを消去したりしようとする可能性があります。攻撃者は、オンラインで個人について見つけた情報を使用して、データ主体の権利プロセス (グローバルなプライバシー法の下でデータにアクセスする権利など) を介して、その個人に関するより多くの情報を取得しようとする可能性があります。 GDPR が施行された後、このようなケースがいくつかありました。攻撃者は漏えいした資格情報をユーザーのアカウントに使用して、その個人に関してサービスが保持していたすべてのデータをダウンロードしました。そのため、リクエストを行っている個人を適切に確認し、必要に応じて、偶発的な開示を防ぐために追加のチェックを組み込むことが重要です。

ナタリア: 企業は、誰かの情報や好みの偶発的な悪用をどのように追跡する必要がありますか?

ホイットニー:とても大変です。これは、トレーニング、文化、およびコミュニケーションが非常に重要で価値のある場所です。残念ながら、データの悪用はよくあることです。企業が多要素認証などのセキュリティ機能のために個人データを収集している場合、その電話番号をマーケティングや広告目的にも使用しないでください。それは本来の範囲を超えており、その電話番号の悪用です。これを防ぐには、セキュリティ制御について考える必要があります。誰がデータにアクセスできますか?彼らはいつデータにアクセスできますか?データへのアクセスをどのように文書化し、追跡していますか?それらの行動をどのように監査しますか?そこは、セキュリティとプライバシーが深く重なっている場所です。なぜなら、ここで足並みをそろえれば、データの悪用を管理するのがはるかに簡単になるからです。

また、インシデントが発生したときに透明性を保つことも良い考えです。これは信頼を築くためです。もちろん、企業はインシデントについて公に議論することを決定する際に、法務および広報チームと緊密に連携する必要がありますが、インシデントがあったことを開示する企業に関するニュース記事を見て、その企業からのそのインシデントの詳細な内訳を見ると (どのように彼らは問題を調査して修正しました）、私は通常、「教えてくれてありがとう。私はあなたが必ずしもそれを開示することを法的に要求されていないことを知っています.しかし、次に何かが起こったとき、特にもっと悪いと思われるようなことが起こったときに、あなたが私に知らせてくれることがわかったので、今ではあなたをより信頼しています。」プライバシーとは、法律を遵守することだけではありません。ユーザーとの信頼を築き、ユーザーが自分のデータで何が起こっているかを理解できるようにすることです。

ナタリア: プライバシー プログラムを実装するためのベスト プラクティスは何ですか?

Whitney:プライバシー プログラムを構築するときは、会社の文化に注目してください。その価値とは何ですか?プライバシーとそれらの価値をどのように関連付けますか?会社によって違うでしょう。データの使用または販売に基づくビジネス モデルを持つ企業の価値は、ハードウェアを販売し、主な収益源としてデータを収集する必要がない企業とは異なります。

企業は、GDPR やカリフォルニア州消費者プライバシー法 (CCPA) などの新しいプライバシー法を見て、より広い意味合いを考えずに、「とにかくやってみましょう」と言うのは簡単です。それは間違ったアプローチです。はい、プライバシー法を遵守したいと考えていますが、 コンプライアンスはセキュリティやプライバシーと同じではありません。プライバシー法が要求するものだけに常に反応していると、急速に変化し成長しているため、すぐに疲れてしまいます。プライバシーは未来です。代わりに、プライバシーに関しては、より総合的かつ積極的に考えてください。 1 つの地域と 1 つの法律のみに準拠するためのプロセスを展開するのではなく、すべての地域のすべてのユーザーに展開することを検討してください。そうすれば、新しい地域で同様の法律または規制が実施されたときに、そのプロセスにほぼ確実に対応できるようになります。 GDPR に準拠しているからといって、プライバシー重視の企業である、または最もプライバシー中心の方法で情報を処理しているとは限りません。しかし、あなたはその方向に進んでおり、その基盤の上に構築することができます.もう 1 つのベスト プラクティスは、プライバシーの取り組みを支持するキャンペーン担当者を会社全体で見つけることです。専任のプライバシー リソースがなくても、社内にプライバシーの文化を構築できないわけではありません。プライバシーを重視する従業員と協力して、プライバシー ポリシーが最新のものであり、慣行を反映していることを確認するなど、プライバシーに関する簡単なメリットを見つけてください。社内のプライバシーに関するサポートを構築するためにそれらに焦点を当てます。

以前の規制当局の帽子をかぶって、プライバシー文化は重要です。連邦取引委員会 (FTC) があなたのドアをノックするとき、彼らはあなたが正しい意図を持っているかどうか、最善を尽くそうとしているのかどうかを確認しようとしています。 .彼らは、会社の規模、成熟度、リソース、およびビジネス モデルを調べて、その会社に対してどのように強制するかを決定します。気にかけていることを示しても、必ずしも問題が解決するわけではありませんが、間違いなく役に立ちます。

ナタリア: 企業はプライバシーの問題について従業員をどのように訓練するべきですか?

Whitney:トレーニングは定期的に行う必要があります。ただし、すべてのトレーニングを詳細に説明したり、同じ内容を扱ったりする必要はありません。プライバシーの問題について従業員をトレーニングする目的は、プライバシーの文化を育むことです。たとえば、新入社員は新しい会社に入社することに興奮しています。すべてを覚えているわけではないので、プライバシー トレーニングを高レベルに保ちます。プライバシーの文化的側面に焦点を当てて、自分の役割におけるプライバシーについてどのように考えるかを理解してもらいます。そこから、プライバシーについてさらに学ぶためのリソースを提供します (記事や追加のトレーニングなど)。年に 1 回のトレーニングは、人々に基本を思い出させる良い方法ですが、それらを無視しようとしている人がたくさんいるので、できれば面白く魅力的なものにしてください。ミーム、面白いテーマ、最近の出来事を使って視聴者を惹きつけるのが大好きです。

プライバシー プログラムが成熟するにつれて、各チームとデータ アクセスのレベル、または最も一般的に使用されるツールに適合するトレーニング プログラムを作成することをお勧めします。たとえば、一部のカスタマー サービス チームは、ユーザー データにアクセスでき、他のチームにはできない方法でユーザーを支援する能力を持っているため、トレーニングは、特定の個人データ アクセスとツール機能に対応するように調整する必要があります。また、品質とトレーニングの目的で通話を録音する可能性が高いため、グローバルな通話録音法と要件に関するトレーニングが関連している可能性があります。特定のツールやユースケースにトレーニングの対象を絞れば絞るほど、従業員はそのトレーニングが日常業務にどのように関係しているかをよりよく理解できるようになるため、より効果的になります。

ナタリア: プライバシーを強化するために、企業はどのような暗号化戦略を実装できますか?

Whitney: 保管中のデータベースを暗号化してください。転送中のデータを暗号化します。特にそのシステムが個人データを保存している場合、保存時に暗号化されていない S3 バケットまたはデータベースを持つことはもはや受け入れられません。現在、エンタープライズ キー管理 (EKM) は、暗号化を伴う一般的なデータ保護機能です。 EKM を使用すると、企業は使用しているサービスの暗号化キーを管理できます。たとえば、Microsoft サービスを使用している企業は、そのキーを制御して、データにアクセスできるユーザー、キーをローテーションする、またはキーを削除して、二度とデータにアクセスできないようにすることができます。

EKM の人気は、昨年夏に EU 司法裁判所が下した重要な決定である、セキュリティと Schrems II の動向によって後押しされています。この決定により、EU から米国へのデータ転送のセーフ ハーバーであるプライバシー シールドは、個人データを適切に保護していないため無効であると判断されました。その後、欧州データ保護委員会 (EDPB) は、リスクが存在する可能性のある地域に転送する際に個人データを保護するために、データを転送する前に暗号化することを勧めるガイダンスを発行しました。暗号化は、データ保護について話し、実装する際に不可欠であり、今後も継続します。

もっと詳しく知る

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。